ডিভাইস সার্টিফিকেট সমস্যা সমাধান

সারসংক্ষেপ

SDP ক্লায়েন্টের জন্য ডিভাইস প্রমাণীকরণ কনফিগার করার সময় সার্টিফিকেট-সম্পর্কিত সমস্যা হতে পারে। এই নিবন্ধটি মৌলিক ডিভাইস সার্টিফিকেট ট্রাবলশুটিং কভার করে। এই বৈশিষ্ট্যের বিষয়ে আরও তথ্যের জন্য দেখুন প্রত্যয়িত কর্পোরেট ডিভাইস নিয়ন্ত্রণ করা

সমস্যা সমাধান

নিম্নলিখিতগুলি হল সম্ভাব্য সমস্যা সমাধানের পদক্ষেপ যা ডিভাইস সার্টিফিকেট সমস্যাগুলি তদন্ত করার সময় নেওয়া যেতে পারে।

1. আপনার ডিভাইস প্রমাণীকরণ প্রয়োজনীয়তাগুলি পরিচালনা করতে ক্লায়েন্ট কানেক্টিভিটি নীতি ব্যবহার করুন এ উল্লেখ করা হয়েছে, প্রতিটি OS কনফিগারেশনের জন্য ডিভাইস সার্টিফিকেট ক্লায়েন্ট কানেক্টিভিটি নীতি ব্যবহার করে করা উচিত।

ডিভাইস অবস্থা অধীনে, আপনি সার্টিফিকেটের জন্য ডিভাইস পরীক্ষা তৈরি করতে পারেন (এই ক্লায়েন্ট সংস্করণগুলিতে সমর্থিত) যেগুলি শেষ ব্যবহার ডিভাইসে ইনস্টল করা হয়েছে। এই পরীক্ষা নিশ্চিত করে যে ডিভাইসে একটি সার্টিফিকেট ইনস্টল করা হয়েছে যা অ্যাকাউন্টের জন্য নির্ধারিত ডিভাইস সার্টিফিকেট এর মধ্যে একটি মেলে। অধিক তথ্যের জন্য দেখুন একটি ডিভাইস সার্টিফিকেট ডিভাইস পরীক্ষা তৈরি করা

বিকল্পভাবে, যদি ডিভাইস প্রমাণীকরণ ক্লাউড অ্যাক্সেস -> ক্লায়েন্ট অ্যাক্সেস -> ডিভাইস প্রমাণীকরণ অধীনে সম্পন্ন হয়, তবে নিশ্চিত করুন যে আগ্রহী OSটি প্রয়োজনীয় হিসাবে তালিকাভুক্ত রয়েছে এবং ব্লকড হিসাবে নয়।

2. সব CA সার্টিফিকেট CMA তে আপলোড করা হয়েছে অ্যাক্সেস ->ক্লায়েন্ট অ্যাক্সেস ->ডিভাইস প্রমাণীকরণ অধীনে তালিকাভুক্ত। এগুলি হল সার্টিফিকেট অথরিটি সার্টিফিকেট যা ডিভাইস সার্টিফিকেটে স্বাক্ষর করেছে। "বিস্তারিত দেখান" আইকনে ক্লিক করলে সার্টিফিকেটের বিস্তারিত পাঠযোগ্য ফর্মে তালিকাভুক্ত হয়।

3. CA সার্টিফিকেটটির মেয়াদ শেষ হয়নি তা নিশ্চিত করা গুরুত্বপূর্ণ। যদি হয়, PoP শুধুমাত্র সংযোগ অনুমতি দেয় যদি সার্টিফিকেট অথরিটি ডিভাইস সার্টিফিকেটের মেয়াদ শেষ হওয়ার আগে স্বাক্ষর করে। ডিভাইস সার্টিফিকেটের জন্য, Cato ক্লায়েন্টকে একটি মেয়াদোত্তীর্ণ সার্টিফিকেট দিয়ে সংযোগ করতে দেয় না। অধিক তথ্যের জন্য, দেখুন মেয়াদোত্তীর্ণ সার্টিফিকেটগুলি পরিচালনা করা

4. প্রয়োজনীয় CA সার্টিফিকেটগুলি CMA তে আপলোড করা হয়েছে তা নিশ্চিত করার একটি উপায় হল ক্লায়েন্ট সার্টিফিকেট চেইন (প্রমাণীকরণ পথ) দেখা। এই উদাহরণে, ক্লায়েন্ট সার্টিফিকেট "CN= Issuing CA Client" দ্বারা ইন্টারমিডিয়েট সার্টিফিকেট দ্বারা স্বাক্ষরিত হয়েছিল, যা পালাক্রমে "CN= Root CA" দ্বারা রুট সার্টিফিকেট দ্বারা স্বাক্ষরিত হয়েছিল। এগুলি CMAতে ইনস্টল করা সার্টিফিকেটগুলির সাথে মিলতে হবে।

5. RFC3280 অনুযায়ী, ক্লায়েন্ট সার্টিফিকেটের অথরিটি কী পরিচিতি জারিকারকের বিষয় কী পরিচিতি (এই ক্ষেত্রে, ইন্টারমিডিয়েট সার্টিফিকেট) এর সাথে মিলতে হবে। এটি নিশ্চিত করার আরেকটি উপায় যে সঠিক মধ্যবর্তী এবং মূল CA সার্টিফিকেটগুলি CMA-তে আপলোড করা হয়েছে।

6. আমরা নিশ্চিত হওয়ার পর যে কনফিগারেশনটি ভাল দেখাচ্ছে এবং সার্টিফিকেটটি বৈধ, আমরা যাচাই করব যে সার্টিফিকেটটি ক্লায়েন্টের OS-এ উপস্থিত আছে।

নোট: সার্টিফিকেট বিতরণের বিষয়ে আরও তথ্যের জন্য, ডিভাইস সার্টিফিকেট বিতরণ এবং ইনস্টল করা দেখুন

উইন্ডোজ:

Windows-এ, ডিভাইস সার্টিফিকেটগুলি অবশ্যই লোকাল কম্পিউটার এর অধীনে ইনস্টল করতে হবে এবং বর্তমান ব্যবহারকারীর অধীনে নয়। ডিভাইস সার্টিফিকেটের অস্তিত্ব যাচাই করার দুটি উপায় রয়েছে:

• কমান্ড প্রম্পট খুলুন এবং certutil -store My টাইপ করুন যাতে ডিভাইসের সমস্ত উপলব্ধ ব্যবহারকারী সার্টিফিকেট তালিকাভুক্ত করা যায়। নিচের উদাহরণে, প্রথম সার্টিফিকেট জারিকারক ইনস্টল করা CA সার্টিফিকেটের বিষয়ে পদক্ষেপ #2 এ মিল করে। যদি এটি না হয়, তবে ক্লায়েন্টের ডিভাইসে প্রয়োজনীয় সার্টিফিকেট নেই। Certutil একটি অত্যন্ত শক্তিশালী টুল যা তালিকাভুক্ত করা, প্রত্যাহার বা সার্টিফিকেট নবায়ন করার জন্য ব্যবহার করা যেতে পারে। এখানে সরঞ্জামটির বিষয়ে আরও তথ্য পেতে পারেন।

• certutil নিচের কমান্ড রান করে ডিভাইসে PFX (p12) সার্টিফিকেট ফাইল ইনস্টল করতে ব্যবহার করা যেতে পারে। এটি উইন্ডোজ ডিভাইসে সার্টিফিকেট ইনস্টল করার জন্য প্রস্তাবিত উপায় যেমন ব্যাখ্যা করা হয়েছে উইন্ডোজ ডিভাইসে ডিভাইস সার্টিফিকেট বিতরণ করা।

  /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

• অন্যভাবে, আপনি উইন্ডোজ স্টার্ট মেনু থেকে certlm.msc টাইপ করে ডিভাইসে ইনস্টল করা সার্টিফিকেটগুলো যাচাই করতে পারেন। এটি লোকাল কম্পিউটার এ ইনস্টল করা সব সার্টিফিকেট দেখাবে। ডিভাইস সার্টিফিকেট অবশ্যই লোকাল কম্পিউটারের ব্যক্তিগত/সার্টিফিকেট ফোল্ডারের অধীনে ইনস্টল করতে হবে এবং একটি ব্যক্তিগত কী অন্তর্ভুক্ত করবে যা PFX ফাইল ইনস্টল করা উচিত ছিল।

MacOS এবং iOS:

macOS v5.3 এবং নীচে:

যাচাই করুন যে MacOS ক্লায়েন্টে পূর্বে MDM বা অ্যাপল কনফিগুরেটর দ্বারা বিতরণ করা কনফিগারেশন প্রোফাইল অন্তর্ভুক্ত আছে। প্রোফাইলটি macOS 13 এর জন্য গোপনীয়তা & নিরাপত্তা সেটিংসে পাওয়া যেতে পারে। পুরোনো macOS সংস্করণে প্রোফাইলটি খুঁজতে দেখুন macOS ব্যবহারকারী গাইড।

যেকোনো iOS সংস্করণ:

যাচাই করুন যে iOS ডিভাইসে পূর্বে MDM বা অ্যাপল কনফিগুরেটর দ্বারা বিতরণ করা কনফিগারেশন প্রোফাইল অন্তর্ভুক্ত আছে। প্রোফাইলটি সাধারণ > VPN & ডিভাইস ব্যবস্থাপনা > iOS18 এর জন্য কনফিগারেশন প্রোফাইলে পাওয়া যাবে। পুরোনো iOS সংস্করণে প্রোফাইলটি খুঁজতে দেখুন iOS ব্যবহারকারী গাইড।

নিশ্চিত করুন যে VPN প্রোফাইল সঠিকভাবে কনফিগার করা হয়েছে। VPN পেওল্ড ডিভাইসের ধরন অনুযায়ী (macOS বা iOS) কনফিগার করা উচিত:

• সংযোগের ধরন: কাস্টম SSL

• পরিচিতি:

  • macOS এর জন্য:  com.catonetworks.mac.CatoClient 
  • iOS এর জন্য:  CatoNetworks.CatoVPN 
• সার্ভার: vpn.catonetworks.net
• অ্যাকাউন্ট: আপনার অ্যাকাউন্টের নাম যুক্ত করুন। উদাহরণস্বরূপ: CatoNetworksAccount।
  • iOS ক্লায়েন্ট v5.6 এবং তার উপরে জন্য: অ্যাকাউন্টটি "CatoClientVPN" হিসাবে সেট করুন।

• প্রদানকারী বান্ডিল পরিচিতি:

  • macOS এর জন্য: com.catonetworks.mac.CatoClient.CatoClientSysExtension
  • iOS এর জন্য: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
• প্রদানকারী নির্ধারিত প্রয়োজনীয়তা: খালি
• ব্যবহারকারী প্রমাণীকরণ: সার্টিফিকেট
• প্রদানকারী ধরন: প্যাকেট টানেল
• ক্রেডেনশিয়াল: ‘Certificates’ payload থেকে সার্টিফিকেট বেছে নিন
• প্রক্সি সেটআপ: কোনো না

VPN প্রোফাইল কনফিগারেশনের বিস্তারিত তথ্যের জন্য, macOS এবং iOS ডিভাইসে ডিভাইস সার্টিফিকেট বিতরণ করা দেখুন।

macOS v5.4 এবং এর উর্ধ্বতন:

macOS ক্লায়েন্ট v5.4 থেকে শুরু, MDM বিতরণ ছাড়াই সরাসরি ডিভাইসে সার্টিফিকেট ইনস্টল করা যেতে পারে। সার্টিফিকেট এবং ব্যক্তিগত কী ‘Keychain Access’ এ পাওয়া যাবে। 

ডিভাইস সার্টিফিকেট ডিভাইস সার্টিফিকেট বিতরণতে বর্ণিত হিসাবে macOS ডিভাইসে বিতরণ করা যেতে পারে এবং Microsoft Active Directory ব্যবহার করে উইন্ডোজ এন্টারপ্রাইজ CA মাধ্যমে। দেখুন: কনফিগারেশন ম্যানেজার থেকে স্বাধীনভাবে ম্যাক কম্পিউটারের জন্য একটি ক্লায়েন্ট সার্টিফিকেট তৈরি এবং মোতায়েন কীভাবে করবেন

ব্যবহারকারী সার্টিফিকেটটি কীচেইন অ্যাক্সেসের লোগিন সেকশনের অধীনে পাওয়া যাবে:

• সুনিশ্চিত করুন যে সার্টিফিকেটটি 'সবসময় বিশ্বাস’ এ সেট করা আছে।
• সুনিশ্চিত করুন যে বেসরকারি কী-এর অ্যাক্সেস নিয়ন্ত্রণ সেটিংস ক্যাটো ক্লায়েন্ট অথবা 'এই আইটেমটি সমস্ত অ্যাপ্লিকেশনসমূহ অ্যাক্সেস করতে অনুমতি দিন' এর জন্য অনুমতি দেয়।